Pemerintah Indonesia memberlakukan Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi yang disahkan pada tanggal 17 Oktober 2022. Undang-undang ini menegaskan bahwa Pelindungan Data Pribadi (PDP) merupakan salah satu hak asasi manusia (HAM) yang menjadi bagian pelindungan diri pribadi.
Undang-undang ini juga ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya PDP. Berlakunya undang-undang ini merupakan payung hukum bagi tata kelola data pribadi yang baik di Indonesia.
Artikel ini terdiri dari dua bagian. Bagian pertama akan menjelaskan tentang yuridiksi Undang-Undang No. 27 Tahun 2022, jenis data pribadi, hak subjek data pribadi dan kewajiban pengendali data pribadi dan prosesor data pribadi.
Yurisdiksi Undang-undang No. 27 Tahun 2022
Yurisdiksi pelaksanaan Undang-undang No. 27 Tahun 2022 ini berlaku secara ekstrateritorial. Undang-undang ini berlaku untuk setiap orang, badan publik, dan organisasi internasional yang berada di dalam maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia ataupun yang memiliki akibat hukum bagi subjek data pribadi warga negara Indonesia di luar wilayah hukum Indonesia. Namun Undang-undang No. 27 Tahun 2022 ini tidak mengatur pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.
Jenis Data Pribadi
Undang-undang No. 27 Tahun 2022 mendefinisikan data pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non elektronik.
Data pribadi terdiri dari dua jenis, yaitu: data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum.
Yang dimaksud data pribadi yang bersifat spesifik meliputi:
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data keuangan pribadi; dan/atau
- data lainnya sesuai dengan ketentuan peraturan perundang- undangan
Sedangkan data pribadi yang bersifat umum meliputi:
- nama lengkap;
- jenis kelamin;
- kewarganegaraan;
- agama;
- status perkawinan; dan/atau
- data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Hak Subjek Data Pribadi
Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. Undang-undang No. 27 Tahun 2022 mengatur hak-hak dari subjek data ribadi, yaitu sebagai berikut:
- hak untuk mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data p
- hak untuk melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya sesuai dengan tujuan pemrosesan data p
- hak untuk mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
- hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
- hak untuk menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada pengendali data p
- hak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data p
- hak untuk menunda atau membatasi pemrosesan data pribadi secara proporsional sesuai dengan tujuan pemrosesan data p
- hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
- hak untuk mendapatkan dan/atau menggunakan data pribadi tentang dirinya dari pengendali data pribadi dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
- hak untuk menggunakan dan mengirimkan data pribadi tentang dirinya ke pengendali data pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip pelindungan data pribadi berdasarkan undang-undang ini.
Hak subjek data pribadi tersebut dikecualikan untuk:
- kepentingan pertahanan dan keamanan nasional;
- kepentingan proses penegakan hukum;
- kepentingan umum dalam rangka penyelenggaraan negara;
- kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
- kepentingan statistik dan penelitian ilmiah.
Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi
Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Dalam hal pengendali data pribadi menunjuk prosesor data pribadi, prosesor data pribadi wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi. Prosesor data pribadi dapat melibatkan prosesor data pribadi lain dalam melakukan pemrosesan data pribadi.
Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi. Dasar pemrosesan data pribadi meliputi:
- persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
- pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melalrukan perjanjian;
- pemenuhan kewajiban hukum dari pengendali data pribadi;
- pelindungan kepentingan vital subjek data pribadi;
- pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
- pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi
Dalam hal mendapatkan persetujuan yang sah secara eksplisit dari subjek data pribadi, pengendali data pribadi wajib menyampaikan informasi terkait dengan:
- legalitas dari pemrosesan data pribadi;
- tujuan pemrosesan data pribadi;
- jenis dan relevansi data pribadi yang akan diproses;
- jangka waktu retensi dokumen yang memuat data pribadi;
- rincian mengenai Informasi yang dikumpulkan;
- jangka waktu pemrosesan data pribadi; dan
- hak subjek data p
Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari subjek data pribadi dinyatakan batal demi hukum.
Pengendali data pribadi maupun prosesor data pribadi wajib melakukan pemrosesan dengan:
- secara terbatas dan spesifik, sah secara hukum, dan transparan;
- sesuai dengan tujuan pemrosesan data pribadi;
- memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
- memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi paling lambat 3 x 24 jam terhitung sejak pengendali data pribadi menerima permintaan pembaruan dan/atau perbaikan data pribadi;
- memberitahukan hasil pembaruan dan/atau perbaikan data pribadi kepada subjek data pribadi;
- memberikan akses kepada subjek data pribadi terhadap data pribadi yang diproses beserta rekam jejak pemrosesan data pribadi sesuai dengan jangka waktu penyimpanan data p Akses tersebut diberikan paling lambat 3×24 jam terhitung sejak pengendali data pribadi menerima permintaan akses;
- menolak memberikan akses perubahan terhadap data pribadi kepada subjek data pribadi dalam hal:
- membahayakan keamanan, kesehatan fisik, atau kesehatan mental subjek data Pribadi dan/atau orang lain;
- berdampak pada pengungkapan data pribadi milik orang lain; dan/atau
- bertentangan dengan kepentingan pertahanan dan keamanan nasional.
- melakukan penilaian dampak PDP dalam hal pemrosesan data pribadi memiliki potensi risiko tinggi terhadap subjek data pribadi;
- melindungi dan memastikan keamanan data pribadi yang diprosesnya;
- menjaga kerahasiaan data pribadi;
- melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi;
- melindungi data pribadi dari pemrosesan yang tidak sah;
- mencegah data pribadi diakses secara tidak sah;
- menghentikan pemrosesan data pribadi dalam hal subjek data pribadi menarik kembali persetujuan pemrosesan data pribadi;
- melakukan penundaan dan pembatasan pemrosesan data pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 jam terhitung sejak pengendali data pribadi menerima permintaan penundaan dan pembatasan pemrosesan data pribadi dan memberitahukannya;
- mengakhiri pemrosesan data pribadi dalam hal:
- telah mencapai masa retensi;
- tujuan pemrosesan data pribadi telah tercapai; atau
- terdapat permintaan dari subjek data p
- menghapus data pribadi dalam hal:
- data pribadi tidak lagi diperlukan untuk tujuan pemrosesan data pribadi;
- subjek data pribadi telah melakukan penarikan kembali persetqiuan pemrosesan data Pribadi;
- terdapat permintaan dari subjek data pribadi; atau
- data pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
- memusnahkan data pribadi dalam hal:
- telah habis masa retensinya dan berketerangan dimusnahkan berdasarkarn jadwal retensi arsip;
- terdapat permintaan dari subjek data pribadi;
- tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/ atau
- data pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
- memberitahukan penghapusan dan/atau pemusnahan data pribadi kepada subjek data pribadi;
- menyampaikan pemberitahuan secara tertulis kepada subjek data pribadi dan lembaga apabila terjadi kegagalan PDP;
- bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungiawaban dalam kewajiban pelaksanaan prinsip PDP;
- Pengendali data pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan PDP sesuai dengan Undang-undang No. 27 Tahun 2022.
R. Yudha Triarianto Wasono, S.H., M.H. Partner Contact: Mail : yudha@siplawfirm.id Phone : +62-21 799 7973 / +62-21 799 7975 |
Associate Contact: Mail : ihsan@siplawfirm.id Phone : +62-21 799 7973 / +62-21 799 7975 |
DISCLAIMER
Setiap informasi yang terkandung dalam artikel ini disediakan hanya untuk tujuan informasi dan tidak boleh ditafsirkan sebagai nasihat hukum tentang masalah apa pun. Anda tidak boleh bertindak atau menahan diri dari bertindak berdasarkan konten apa pun yang termasuk dalam update hukum ini tanpa mencari nasihat hukum atau profesional lainnya. Dokumen ini dilindungi hak cipta. Tidak ada bagian dari dokumen ini yang dapat diungkapkan, didistribusikan, direproduksi atau dikirim dalam bentuk apa pun atau dengan cara apa pun, termasuk fotokopi dan rekaman atau disimpan dalam sistem pengambilan apa pun tanpa persetujuan tertulis sebelumnya dari Firma Hukum SIP.